docker中有struts2全版本的漏洞平台
1、首先在docker中进行下载:
# docker pull 2d8ru/struts2
2、其次运行:(48729为物理机的端口,可随意指定)
# docker run --name struts2 -p48729:8080 -d 2d8ru/struts2
3、下载struts2漏洞扫描工具:
https://github.com/Lucifer1993/struts-scan
该工具支持对以下的漏洞进行检测:
ST2-005
ST2-008
ST2-009
ST2-013
ST2-016
ST2-019
ST2-020
ST2-devmode
ST2-032
ST2-033
ST2-037
ST2-045
ST2-046
ST2-048
ST2-052
ST2-053
ST2-057
4、
说明:需要检测哪一个漏洞就直接更改S2-032处就可以了,如检测S2-032,那么输入地址:http://192.168.43.14:48729/S2-032/ 即可进入到存在S2-032漏洞的地址。
在浏览器中打开存在S2-032漏洞的地址,得到该url:http://192.168.43.14:48729/S2-032/memoshow.action?id=3
5、使用struts2漏洞扫描工具对目标网站进行检测并且可以直接利用:
[1] 可以批量检测全部漏洞,但经过测试,觉得不准确。
[2] 建议使用指定漏洞的方法进行检测:
{ 经测试,除了008、009、046、048、052 这几个漏洞,其他漏洞均可以使用上述方法进行检测并利用 }
{ 该漏洞平台没有 020、 057 这两个漏洞 }